Private Service Connect の概要

このページでは、Private Service Connect について説明します。

Cloud SQL は次の方法でデータベースに接続します。

  • パブリック IPv4 アドレスを介したパブリック アクセス
  • プライベート サービス アクセスによるプライベート アクセス。この Virtual Private Cloud ネットワーク ピアリング ソリューションを使用すると、ネットワークを Cloud SQL インスタンスに接続し、接続されたネットワークからインスタンスへの完全アクセス権を取得できます。ただし、プライベート サービス アクセスでは、複数の VPC ネットワークから Cloud SQL インスタンスに同時に接続することはできません。
  • Private Service Connect によるプライベート アクセス。異なるグループ、チーム、プロジェクト、組織に属する複数の VPC ネットワークから Cloud SQL インスタンスに接続できます。Private Service Connect を使用して、プライマリ インスタンスまたはそのリードレプリカのいずれかに接続することもできます。

サービス アタッチメント

Cloud SQL 管理者は、インスタンスを作成する際に、そのインスタンスが Private Service Connect を使用するように構成できます。これにより、Cloud SQL はインスタンスのサービス アタッチメントを自動的に作成します。サービス アタッチメントは、VPC ネットワークがインスタンスへのアクセスに使用するアタッチメント ポイントです。

ネットワーク管理者は、VPC ネットワークがサービス アタッチメントに接続するために使用する Private Service Connect エンドポイントを作成します。これにより、ネットワークがインスタンスにアクセスできるようになります。

各 Cloud SQL インスタンスには、Private Service Connect エンドポイントが VPC ネットワーク経由で接続できるサービス アタッチメントが 1 つあります。複数のネットワークがある場合、各ネットワークには独自のエンドポイントがあります。

Private Service Connect エンドポイント

Private Service Connect エンドポイントは、プライベート IP アドレスに関連付けられた転送ルールです。エンドポイント作成の一環として、管理者は Cloud SQL インスタンスに関連付けられているサービス アタッチメントを指定します。ネットワークはエンドポイントを介してインスタンスにアクセスできるようになります。

サービス アタッチメントの指定に加えて、ネットワーク管理者は VPC ネットワーク内の IP アドレスとサービス アタッチメント URI を提供します。ネットワーク管理者は、Cloud SQL Admin API を使用して、この URI を取得できます。ネットワークは、エンドポイントに関連付けられている IP アドレスから Cloud SQL インスタンスにアクセスできます。

DNS 名

DNS 名は、Private Service Connect が有効になっている Cloud SQL インスタンスの、人が読める形式の URI です。プライベート IP アドレスを使用する場合、DNS 名を使用することには次のメリットがあります。

  • シンプル: IP アドレスよりも覚えやすく使いやすい。たとえば、インスタンスの IP アドレスを覚えていなくても、DNS 名を使用します。これにより、開発者や管理者はインスタンスを簡単に操作できるようになります。

  • ポータビリティ: 異なる VPC ネットワーク間で移動できます。たとえば、インスタンスを別のネットワークに移動しても、DNS 名は引き続き機能します。これにより、コードや構成設定を変更しなくても、ネットワークの周囲でインスタンスを簡単に移動できるようになります。

  • セキュリティ: 内部 IP アドレスを非表示にしてセキュリティを向上させます。これにより、承認されていないユーザーがインスタンスにアクセスすることを防止できます。

  • スケーラビリティ: 多数の接続サービス ユーザーをスケーラブルにサポートします。これは、多数のリクエストを処理できる分散データベースに名前が格納されているためです。

Private Service Connect は、異なるネットワークから Cloud SQL インスタンスへの接続をサポートしており、単一のインスタンスの Private Service Connect エンドポイントが異なる IP アドレスを持つ可能性があるため、IP アドレスを使用するのではなく DNS 名で接続することをおすすめします。また、Cloud SQL プロキシ クライアントは、Private Service Connect が有効になっているインスタンスの DNS 名でのみ動作します。

Cloud SQL では DNS レコードは自動的には作成されません。代わりに、インスタンスのルックアップ API レスポンスから推奨される DNS 名から提供されます。対応する VPC ネットワークの限定公開 DNS ゾーンに DNS レコードを作成することを強くおすすめします。こうすることで、異なるネットワークからの一貫した接続方法が提供されるだけでなく、Cloud SQL Auth Proxy を使用するためにも必要になります。

許可された Private Service Connect プロジェクト

許可されたプロジェクトは、VPC ネットワークに関連付けられたプロジェクトであり、各 Cloud SQL インスタンスに固有のものです。

これらのプロジェクトのネットワーク管理者は、インスタンスの Private Service Connect エンドポイントを作成することが許可されています。プロジェクトが明示的に許可リストに登録されていない場合、管理者はインスタンスのエンドポイントを作成できますが、エンドポイントは PENDING 状態のままです。

次のステップ